Guía para la localización de datos y la conformidad
Cómo la normativa de protección de datos está modelando Internet
El Reglamento general de protección de datos (RGPD) transformó el mundo de la privacidad, principalmente a mejor. Sin embargo, aunque la histórica política europea estableció la norma para la protección de la información de los consumidores en línea, también desencadenó una serie de acciones reguladoras basadas en la dudosa idea de que localizar los datos mejora su privacidad y seguridad.
En algunas jurisdicciones existían leyes de protección de datos con disposiciones de localización antes del RGPD, a menudo por motivos de seguridad nacional. Sin embargo, desde que el RGPD entr�ó en vigor en 2018, al menos 30 países han adoptado nuevas leyes de protección de datos o han modificado las existentes, según datos de la Comisión de Comercio y Desarrollo de las Naciones Unidas, y muchos de ellos imponen restricciones a la transferencia de datos personales a otros países.
La privacidad de los datos es un tema que me entusiasma, y nunca ha recibido tanta atención. Pienso en ello todo el tiempo, y me alegra que muchas otras personas, tanto reguladores como empresas, también lo hagan. Sin embargo, la localización de los datos no los hace más privados. De hecho, la creciente presión para cumplir con reglas de localización de datos a veces incoherentes e incompatibles puede dificultar que las organizaciones protejan la privacidad de los datos que procesan. Y el incumplimiento tiene un coste elevado, como pudo comprobar Meta cuando los organismos reguladores irlandeses le impusieron una sanción de 1200 millones de euros por transferir datos creados localmente a Estados Unidos.
El problema de la localización de datos
El RGPD se considera generalmente como un "estándar de excelencia" para la protección de la privacidad. Consagra los derechos de los interesados y exige prácticas de procesamiento de datos que han sido copiadas por legisladores de otros países. Además, debido a los requisitos integrales del RGPD, muchas empresas adoptaron el enfoque de aplicar las normas del RGPD a todos los datos personales que procesan. Como resultado, los datos personales de miles de millones de personas en todo el mundo están protegidos al nivel establecido por el RGPD, se alojen o no en Europa.
Sin embargo, uno de los efectos (quizás no deseados) del RGPD ha sido la aparición de la ubicación geográfica como indicador de la privacidad. Antes del RGPD, había casos de uso limitados para la localización de datos. Los gobiernos incluyeron requisitos de localización en los contratos para proteger determinados datos de los extranjeros, o los estados autoritarios lo exigieron para permitir el acceso del gobierno a datos privados. Pero el RGPD intensificó el enfoque en la regulación de las transferencias transfronterizas de datos. Cuando la sentencia Schrems II del Tribunal de Justicia de la Unión Europea invalidó el Escudo de Privacidad UE-EE. UU. en 2020, llevó a varios reguladores a argumentar que ninguna transferencia de datos de la Unión Europea a Estados Unidos sería admisible según la norma establecida por dicho tribunal. Además, dado que algunos de los mayores proveedores de servicios en la nube tienen su sede en Estados Unidos, esa decisión tuvo importantes repercusiones para las empresas de todo el mundo.
La idea subyacente a la localización de datos, que los datos deben almacenarse y procesarse en el mismo lugar donde se generan, es relativamente sencilla. Si los datos de los ciudadanos de un país permanecen en servidores dentro del país, la idea es que el país pueda mantener esos datos seguros y garantizar que se gestionan de acuerdo con las leyes locales. En la práctica, sin embargo, crea una red de Internet más fragmentada donde la privacidad y la seguridad reales son más difíciles de conseguir. Con la creación de silos geográficos artificiales, la localización de datos en realidad disminuye nuestra capacidad para identificar y actuar proactivamente sobre las vulnerabilidades. Por ejemplo, cuando los datos sobre las tendencias de los bots en la India no se pueden compartir con los expertos en ciberseguridad de Indiana, Internet se vuelve más peligroso para todos. Y mantener los datos locales también puede tener un impacto peligroso en la seguridad nacional de un país, como comprobó Ucrania cuando Rusia invadió el país en 2022.
Ese es el efecto global. Para las organizaciones individuales que intentan operar mientras proliferan las exigencias de localización, la existencia de tantas regulaciones nacionales, regionales y locales es un gran problema. La improvisación de una infraestructura informática que responda a todas estas necesidades sin sacrificar el rendimiento es un desafío.
Conformidad y rendimiento
Es un desafío, pero no imposible, si haces las preguntas adecuadas cuando evalúes las soluciones de seguridad y protección de datos. Puedes cumplir con las obligaciones normativas, así como con los requisitos de los clientes y usuarios, con productos y proveedores que prioricen la conformidad proactiva, la resistencia y la visibilidad.
Cuando evalúes si una herramienta de seguridad puede ayudarte a responder a los requisitos de localización de datos y ofrecer los resultados que esperan tus usuarios, ten en cuenta estas 3 preguntas clave:
¿Tiene una presencia y una postura verdaderamente globales?
Una herramienta no te dará control sobre la ubicación de los datos sin un software y un hardware subyacentes que ya estén operativos y en conformidad en muchos países y regiones. Querrás elegir un proveedor que haya pensado detenidamente en los matices de la conformidad de la protección de datos en cada jurisdicción en la que tenga usuarios.¿Te da una visión de dónde (y cómo) se procesan tus datos?
No puedes estar seguro de que estás cumpliendo con las exigencias locales de gestión de datos sin una visibilidad inmediata de dónde están tus datos y una explicación clara de lo que les sucede en tránsito y en reposo.¿Está el proveedor comprometido con la privacidad y la seguridad?
La empresa que ofrezca el producto debe tener un conjunto completo de certificaciones en materia de privacidad de organizaciones de estándares y agencias gubernamentales. También debe tener un registro de mantenimiento de la encriptación de los datos de los usuarios, independientemente de las políticas locales dondequiera que se alojen esos datos. Además, debe tener experiencia en hacer frente a solicitudes de datos gubernamentales que entren en conflicto con las leyes de protección de datos de la jurisdicción de origen del interesado.
En Cloudflare, creemos que la forma en la que proteges los datos es más importante que el lugar donde lo haces. Hemos creado una red global en la nube que antepone la privacidad priorizando la seguridad, y contamos con las certificaciones para validar nuestro enfoque — ISO 27701 e ISO 27018, además de la validación según el marco de privacidad de datos de la UE-EE. UU. y el Código de conducta de la nube de la UE.
Sin embargo, como reconocemos que algunos de nuestros clientes necesitan herramientas de localización, hemos puesto el poder de esa red global en manos de nuestros clientes con un conjunto de herramientas localizadas que ofrecen visibilidad centralizada del estado de sus datos y control sobre dónde se utilizan y almacenan.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Autor
Emily Hancock - @emilyhancock
Directora de privacidad, Cloudflare
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
Cómo la ubicación geográfica se convirtió en un indicador de la privacidad de los datos
Las deficiencias de la localización de datos
Las 3 preguntas clave que debes hacer al evaluar las herramientas de seguridad
Recursos relacionados
Cómo aprendí a dejar de preocuparme y aceptar la conformidad
Hacia un marco global para los flujos de datos entre países y la protección de la privacidad
Serie: Cómo adoptar un enfoque de seguridad que priorice la privacidad